Не секрет, что нашумевший в кинотеатрах и на торрентах фильм «Барби» оставил много поводов для раздумий над слоями иронии, а также над политическими и идеологическими посылами, которые там присутствуют.
Но, помимо этого, Барбиленд — ещё и хороший пример того, как не надо выстраивать информационную безопасность. Под катом разберём, какие классические проблемы ИБ можно найти в фильме и что мы можем из этого вынести.
В статье Барбиленд представлен в виде большой системы, в которой есть те или иные проблемы, присущие информационной безопасности в корпоративной архитектуре. Я не претендую на охват всех аспектов безопасности и всего фильма и рассматриваю основные моменты, которые показались мне примечательными.
События описываются по порядку их появления в фильме.
Внимание! В тексте будут СПОЙЛЕРЫ.
Проблема идентификации пользователей
В начале фильма можно заметить, что у всех персонажей (в зависимости от их половой принадлежности) есть только одно имя: либо Барби, либо Кен. Понять, к кому именно обращается тот или иной персонаж, можно только по тому, на кого он смотрит.
В фильме это не вызывало курьёзов, однако могло привести к ним. Кроме того, при ретроспекции будет сложно описывать, про кого идёт речь, и придётся использовать дополнительные характеристики: цвет волос, рост, отличительные признаки и так далее.
В информационных системах подобная проблема может выражаться по-разному:
в одинаковых идентификаторах (однако это маловероятно, поскольку в этом случае спорным будет процесс аутентификации, так как одному идентификатору соответствует несколько аутентификационных признаков, например паролей);
в обезличенных/групповых учётных записях.
В самой банальной форме это выражается в случаях, когда для доступа в ту или иную систему несколько пользователей используют один и тот же идентификатор. Соответственно, при возникновении проблем выявление реального злоумышленника либо становится невозможным, либо требует дополнительных метаданных (IP-адресов, информации об операционных системах), что значительно усложняет процесс идентификации.
Также, как в мире Барби возможна ошибка из-за обращения не к той кукле, так и в мире цифровых технологий некоторые действия (например, разрыв сессии у группового пользователя) могут приводить не к тем результатам, которые требуются, так как совсем не очевидно, кто именно в данный момент пользуется учётной записью.
В современных системах для решения этой проблемы используются простые практики: запрет на использование групповых учётных записей (в том числе стандартных вроде admin), выдача индивидуальных идентификаторов каждому пользователю, выстраивание процессов создания, изменения и удаления идентификаторов. В крайнем случае может потребоваться внедрение дополнительных механизмов, которые уменьшат вероятность использования чужих учётных записей, таких как двухфакторная аутентификация и/или PKI (инфраструктура открытых ключей).
Подробнее с процессами идентификации (и аутентификации) можно ознакомиться тут:
Рекомендации ГОСТ Р ИСО/МЭК 58833-2020 (на русском)
Рекомендации NIST SP 800-63A (на английском)
В рамках фильма решение данной проблемы не кажется очевидным. Разве что вводить какие-то дополнительные идентификаторы вроде упрощённых серийных номеров или, возможно, даже фамилий.
Проблема неподготовленности к инцидентам и внештатным ситуациям.
В одной из первых сцен главная героиня утверждает, что всё будет прекрасно сегодня, завтра и всегда. Однако это высказывание опровергается буквально спустя пару моментов, когда происходит событие, к которому Барби не была готова и, соответственно, не планировала действия для нормализации ситуации.
В информационных системах подобная уверенность также может привести к нежелательным последствиям: потере большого объёма данных, утечке персональных данных, нарушению доступности процессов. Всё это может обернуться финансовыми потерями, а также юридическими проблемами (вплоть до уголовного преследования).
Одним из фундаментальных принципов информационной безопасности является готовность к непредвиденным ситуациям и планирование своих действий на случай их возникновения (насколько это возможно). Здесь можно выделить мероприятия различного уровня:
выстраивание процедур мониторинга и реагирования на отклонения и инциденты в системе;
подготовка планов по восстановлению в случае инцидентов, проведение тестов по их реализации;
внедрение программ повышения осведомлённости сотрудников в вопросах цифровой гигиены и информационной безопасности;
изучение опыта других компаний;
своевременное ознакомление с актуальной правовой информацией;
освещение вопросов информационной безопасности на всех этапах жизнедеятельности компании, процессов разработки, реализации проектов и т. д.
Подробнее с подходами к выстраиванию комплексной информационной защиты (в том числе проактивными подходами) можно ознакомиться тут:
Рекомендации ГОСТ Р ИСО/МЭК 27001-2021 (на русском)
Рекомендации NIST Cybersecurity Framework (на английском)
В мире Барби в такой ситуации могла бы помочь готовность к подобного рода проблемам и отход от слепого оптимизма. Впрочем, персонажи фильма предпочитают синюю таблетку, как мы видим в одной из сцен.
Проблема некорректно выстроенных процессов управления инцидентами
Уже в начале фильма становится ясно, что главная героиня является девиантом в мире Барби, обнаруживая некоторые человеческие качества и проблемы и нарушая тем самым устои жизни в розовом мире. Исходя из того что почти весь Барбиленд подчинён определённым правилам, можно сделать вывод, что такие отклонения являются нежелательным поведением. Подтверждение этому находится в сцене танца, когда внезапно сказанная главной героиней фраза поставила на ноги всех окружающих.
Тем не менее даже после такой реакции никто не засомневался в «кукольности» главной героини. Возможно, что и в дальнейшем никто бы не обнаружил её девиантного поведения, если бы она сама не раскрыла карты на следующий день.
Потенциально всё это могло привести к компрометации всего Барбиленда, так как девиантный субъект может обладать более опасными намерениями, чем Барби, что позже мы могли наблюдать на примере Кена.
Основных проблем здесь три:
сначала никто не обнаруживал необычное поведение;
при обнаружении его посчитали корректным;
не последовало своевременного реагирования, а Барби пришлось самой разбираться с проблемой.
В мире информационных систем такая ситуация несёт гораздо больше рисков. Нарушитель мог бы незаметно компрометировать систему, распространиться и нанести серьёзный ущерб путём нарушения целостности, конфиденциальности или доступности данных.
Не допустить этого помогут проработанные процедуры обнаружения аномалий, процессы реагирования на них, а также анализ ложных срабатываний. Они позволят уменьшить вероятность успешной атаки и неблагоприятных исходов, вызванных другими факторами (человеческий фактор, техногенные проблемы и т. д.).
Подробнее с процессами управления инцидентами можно ознакомиться тут:
Рекомендации ГОСТ Р 59711-2022 (на русском)
Рекомендации NIST SP 800-61r2 (на английском)
В контексте фильма были бы полезны практики обнаружения аномалий и помощи куклам, которые позволили бы им более прозрачно и в более приемлемые сроки решать подобные проблемы.
Проблема подверженности компрометации инфраструктуры в мире мобильности и удалённой работы
Когда Барби стала разбираться со своей проблемой и вышла на Странную Барби (персонаж-изгнанник), она узнала, что между ней и девочкой в реальной жизни возникла связь, из-за чего поведение девочки повлияло на главную героиню.
Эта ситуация аналогична той, когда компрометация в одной системе, например в домашней сети, приводит к проникновению нежелательного кода в другую систему, например в организацию. Это может произойти, например, в случае получения злоумышленниками доступа к рабочей станции, подключённой по VPN к сети предприятия.
Для минимизации таких рисков следует как настраивать контроли внутри периметра организации, так и учитывать уязвимости элементов системы, которые находятся за пределами периметра, например сотрудников на удалёнке.
Важно помнить, что удалённая работа — это всегда точка входа во внутреннюю инфраструктуру из недоверенной среды, поэтому не следует предоставлять доступ к внутренним сервисам без дополнительных проверок (межсетевое экранирование, аутентификация и авторизация и т. д.) на периметре сети. Грамотно выстроенная архитектура может существенно уменьшить риски в наших реалиях работы откуда угодно.
Подробнее с защитой удалённого доступа можно ознакомиться тут:
Рекомендации ФСТЭК от 20 марта 2020 года № 240/84/389 (на русском)
Рекомендации NIST SP 800-46r2 (на английском)
Что же касается фильма, то в данном случае вряд ли возможны какие-то меры защиты, разве что готовность к подобным ситуациям и заблаговременная разработка плана действий. Например, персонажам пригодился бы тревожный чемоданчик с необходимой валютой, девайсами и рекомендациями по выживанию в жестоком реальном мире.
Проблема недостаточного контроля исходящего трафика на периметре сети предприятия
Отправляясь в реальный мир, главная героиня (как и другие Барби), пропустила спрятавшегося в машине Кена, что привело к проблемам после его возвращения в Барбиленд.
Ситуация схожа с проблемой неконтролируемого трафика и потоков информации, выходящих за периметр предприятия. В данном случае речь идёт о контроле как сетевых пакетов, так и каналов передачи данных в принципе.
Неконтролируемые потоки данных могут приводить к проблемам по нескольким причинам (список не исчерпывающий):
они могут говорить об утечке чувствительной информации;
они могут быть признаком активности ботов/C&C (получения злоумышленниками постоянного доступа к заражённым ресурсам);
они могут быть частью запросов, уходящих на потенциально опасные ресурсы.
Первая ситуация возникает при утечке данных как в единичном порядке, так и в массовом, что в итоге может привести в лучшем случае к небольшим финансовым потерям, а в худшем — к огромным штрафам, репутационным потерям, компенсациям пострадавшим от утечки данных.
Вторая ситуация опасна тем, что, с одной стороны, ресурсы организации расходуются на нелегитимную активность, а с другой — что компания может стать участником атак, попасть под юридические санкции, оказаться в чёрных списках IP-адресов и т. д.
Последний сценарий реализуется в те моменты, когда пользователи системы обращаются к ресурсам, которые либо потенциально опасны, либо не соответствуют их рабочим потребностям (социальные сети, сайты для взрослых, торрент-трекеры и т. д.). Такая активность может просто отвлекать сотрудников от работы, а может стать каналом проникновения вредоносного ПО. Кроме того, она нагружает сетевые ресурсы компании нежелательным трафиком.
В каждом случае следует решать проблему разными способами: контролировать исходящий трафик, внедрять средства проксирования, межсетевого экранирования, IDS/IPS для выявления признаков компрометации, в крайнем случае — средства глубокого контроля трафика (DPI).
Глобальным способом решения проблемы является инвентаризация и выстраивание процессов контроля трафика для понимания того, какие данные есть в системе, какие способы выхода за пределы инфраструктуры (в том числе с учётом удалённого подключения) заложены архитектурой, а какие могут появиться в обход них. Основная идея заключается в уменьшении вероятности появления нелегитимного исходящего трафика, представляющего угрозу в том или ином виде.
Для Барби же самым простым решением было бы проверить заднее сидение автомобиля и обнаружить там нежеланного попутчика. Хотя в этом случае фильм был бы не так интересен.
Проблема обнаружения вредоносного ПО
По возвращении из реального мира главная героиня обнаружила, что привычный Барбиленд изменился до неузнаваемости и доминирующей силой стали Кены с символичным логотипом в виде лошади. Этот захват власти создаёт сложности как главной героине, так и её подругам из реального мира.
В современном цифровом мире одной из больших проблем является вредоносное ПО. А одна из его самых известных форм — трояны, что перекликается с тем символом, который Кен принёс в Барбиленд. Стоит отметить, что все Барби приняли такой «подарок» и не возражали против него, что даёт ещё больше сходства с троянским конём.
Вредоносное ПО может использовать разрешённые каналы и средства передачи информации для нелегитимной активности. Например, атаки классов RAT (троян удалённого доступа) и Reverse Shell могут инициироваться со стороны заражённого ПК и обходить блокировки доступа к инфраструктуре извне.
В корпоративных средах для недопущения этого используются различные инструменты:
простые антивирусы, устанавливаемые на рабочие станции пользователей и серверные среды;
более продвинутые решения, работающие на базе поведенческого анализа / обнаружения уязвимостей нулевого дня. Пример — защита от вредоносного ПО на уровне конечных устройств и/или сети. В случае Барби это могло бы помочь избавиться от проблемы ещё на границе Барбиленда.
Отдельно стоит упомянуть действия на случай возникновения инцидентов при запуске вредоносного ПО — от обнаружения заражения до сдерживания его распространения и устранения последствий. В этом могут помочь процессы детектирования и оперативного реагирования. При этом процедуры сдерживания распространения заражения подразумевают изоляцию заражённых ресурсов от остальной инфраструктуры, а дальнейшие действия включают в себя глубокое сканирование остальной сети и анализ инфраструктуры/ресурсов на предмет остаточных признаков заражения, а также переустановку образов операционных систем в случае необходимости.
Подробнее с защитой от вредоносного ПО можно ознакомиться тут:
Рекомендации NIST SP 800-83r1 (на английском)
В случае Барби одним из решений могло бы быть дальнейшее путешествие по реальному миру с Кеном и недопущение его тайного возвращения в Барбиленд.
Другим способом избежать проблем могла бы стать предварительная работа с другими Барби с целями подготовки их к такой ситуации и обучения выявлять подобные вторжения в устои Барбиленда.
Проблема недостаточного контроля входяшего трафика на периметре сети предприятия
Ещё одним неожиданным событием в мире Барби становится появление в нём управляющих компании Mattel, которые воспользовались тем же входом в Барбиленд, которым ранее пользовались другие персонажи для перемещения между мирами. Несмотря на то что это событие в фильме не привело ни к каким проблемам, в других обстоятельствах оно могло бы оказаться деструктивным для розового мира.
В сфере информационной безопасности недостаточный уровень безопасности на границе сети может открыть двери злоумышленникам. Проблема актуальна как для классических корпоративных сетей, так и для других сред: беспроводных сетей, домашних сетей, IoT-устройств и т. д.
Второй проблемой здесь является контроль доступа в принципе, а именно отсутствие понимания того, кто и как должен иметь легитимный доступ в систему (Барбиленд).
Нужно помнить, что контроль периметра сети является одним из важнейших способов защиты от угроз, в том числе со стороны глобальной недоверенной сети (интернета).
Стоит придерживаться принципов ограничения сетевого доступа (межсетевого экранирования), оценки возможных точек входа в инфраструктуру и контроля входящего трафика. В ситуациях, требующего повышенного уровня безопасности, можно использовать более комплексные решения вроде IPS.
Кроме того, может быть актуальным определение правил доступа к защищаемым ресурсам, а также внедрение мер, обеспечивающих контроль доступности элементов корпоративной информационной системы, вроде описанных выше. Следует помнить про логирование доступа для дальнейшего расследования спорных ситуаций и инцидентов.
Подробнее с обеспечением безопасности входящего трафика (в разрезе межсетевого экранирования) можно ознакомиться тут:
Рекомендации ГОСТ Р ИСО/МЭК 27033-4-2021 (на русском)
Рекомендации NIST SP 800-41r1 (на английском)
В Барбиленде проблема могла бы решиться как установкой соответствующих конструкций, ограничивающих въезд, так и выделением кукол для слежения за границей. Кстати, впоследствии новой администрацией было принято первое из предыдущего предложения решение, однако было ли оно реализовано после возвращения власти Барби, — большой вопрос.
Проблема подверженности атакам, приводящим к дефейсу
Одним из действий, которое совершил Кен после возвращения в Барбиленд, было изменение облика всего и вся, пускай и с молчаливого согласия обитательниц этого мира, но против его изначальных правил. Среди изменений можно выделить появление везде символики коней, смену интерьерных решений, переименование различных объектов.
В терминах кибербезопасности одним из видов атак явлется дефейс (deface). Его суть заключается в нелегитимном изменении «облика» ресурса (например, веб-сайта) с публикацией там содержимого нежелательного характера (политического, провокационного и т. д.).
Защитой от этого выступает контроль доступа к внутренним ресурсам в целом и усложнение проведения операций на запись в частности с выдачей соответствующих привилегий по принципу минимальных необходимых прав, а также выстраивание контролей, описанных выше (управление инцидентами, контроль трафика и т.д.).
Аналогично в мире Барби могли бы быть внедрены соответствующие ограничения, не позволяющие в одностороннем порядке без каких-либо стоп-факторов изменить облик мира, моментально превратив его в нечто трудноузнаваемое.
Проблема обнаружения компрометации
Если исходить из того, что после перехода Барбиленда во власть Кенов нам стоит рассматривать ситуацию с их ракурса, то первой большой проблемой является необнаружение лагеря бунтовщиков, которые впоследствии вернули себе власть, обсуждая подобные инициативы со Странной Барби.
По сути, лагерь и его обитатели являются элементом структуры (Барбиленда), а их усилия направлены на разрушение новых устоев.
В кибербезопасности тоже есть аналогичное явление — проблема обнаружения компрометации элементов системы (рабочих станций, серверов), которые в дальнейшем используются либо для внешней нелегитимной активности (например, ботофермы), либо для внутренней (например, сканирование сети). Вовремя обнаруживать подобные действия помогают как простые решения вроде антивирусов, так и более сложные, направленные на анализ трафика на уровне конечных устройств и/или сети.
Отдельно стоит упомянуть сложные схемы компрометации, такие как APT-атаки. Как правило, они направлены на крупные компании и состоят из нескольких шагов, например:
разведка и подготовка ресурсов;
проникновение в инфраструктуру;
эскалация привилегий;
закрепление злоумышленника в инфраструктуре;
перемещение злоумышленника по инфраструктуре;
причинение ущерба.
Советую ознакомиться с матрицей MITRE ATT&CK, в котором обозначены подобные шаги.
Вероятно, Кены в данной ситуации могли бы направить усилия на устранение потенциальных бунтовщиков, что позволило бы им закрепиться у власти и не допустить обратного переворота.
Проблема подверженности атакам социальной инженерии
Когда Барби решили восстановить прежний порядок, их основным инструментом стало отвлечение Кенов и насильственное возвращение Барби их собственной воли после промывки им мозгов мужской частью населения.
Аналогичным явлением в сфере информационной безопасности являются атаки с использованием социальной инженерии, когда для достижения нелегитимных целей используются механизмы работы с человеческими слабостями: устрашение, упор на необходимость быстрого принятия решения, обещание заработка и иные способы, отвлекающие внимание от реальной опасности.
Для борьбы с этим используются превентивные технические и административно-организационные меры.
К первым относятся:
защита от спама;
блокировка недоверенных сайтов на уровне прокси/DNS;
двойной контроль при совершении значимых операций.
Примеры административно-организационных мер:
обучение цифровой грамотности и повышение осведомлённости пользователей об актуальных угрозах;
более пристальное внимание к деталям при работе с цифровыми ресурсами;
осторожность при взаимодействии со злоумышленниками, например по телефону.
Социальная инженерия сегодня применима не только к корпоративным средам и соответствующим угрозам, но и к атакам, направленным на пользователей цифрового мира (с целью получения данных банковских карт, логинов и паролей, побуждения к совершению переводов на счета злоумышленников и т. д.). Важно помнить, что человек является одним из основных источников и проводников угроз, поэтому не следует пренебрегать этим фактором.
Кенам же следовало бы более внимательно относиться к происходящему и пресекать подобные попытки обвести их вокруг пальца, не позволяя Барби объединиться и вернуть себе власть.
Проблема однообразия мнений
И последнее, вытекающее из первого пункта. Отсутствие идентичности и единообразие мнений привели к тому, что всё происходило очень быстро, так как не было критического мышления и персонажа с альтернативным мнением, который мог бы указать на проблемы Барбиленда).
В контексте информационной безопасности тоже важно иметь разнообразие мнений и возможность видеть ситуацию с разных сторон: руководства, коллег, бизнеса, информационных технологий, регуляторов, аудиторов и т. д.
Иногда информация о критичной проблеме приходит с той стороны, откуда её не ждёшь. И, возможно, как раз открытость к чужому мнению сможет помочь решить те вопросы, которые могут быть не видны по причине туннельного зрения.
Что касается Барби, им следовало бы шире смотреть на ситуацию и учитывать возможные последствия своих действий, обращать внимание на то, что происходит вокруг, и, возможно, снять розовые очки и посмотреть на свой мир более реалистично, к чему они частично и пришли ближе к концу фильма.
Заключение
Несмотря на то, что перечисленные пункты — лишь примеры, выделенные на основе сюжета фильма, полезно помнить, что халатное отношение к информационной безопасности в реальной жизни может привести к катастрофическим последствиям.
Комментарии (12)
nikhotmsk
29.09.2023 09:27Хочу добавить: проблем с вредоносным кодом, руткитами и прочим можно было бы избежать, если сделать компьютеры изначально безопасными. Я знаю, что это по дурацки звучит, но думаю, что это возможно.
DariaLib Автор
29.09.2023 09:27+2Увы, всегда есть трейд-оффы, и часть процессов лежит именно на доверии в тех, кто работает в этих системах, при том такие трейд-оффы, которые уменьшают уровень безопасности. А где доверие, там человеческий фактор, злой умысел и вся прочая радость.
Но, конечно, если выстраивать фундамент с учетом безопасности, при том на всех уровнях, то можно значительно уменьшить вероятные риски, нежели в сценариях, когда безопасность учитывается в последнюю (условно) очередь.
Newbilius
29.09.2023 09:27+4Ещё можно было бы сделать изначально безопасными самолёты. Электрические плиты. Паяльники. Молотки опять же... Я знаю, что это по дурацки звучит, но думаю, что это возможно.
DariaLib Автор
29.09.2023 09:27+1Самолеты, кстати, относительно безопасны, как и процессы вокруг с ним. Скажем так, авиация (особенно гражданская) - это вообще пример секьюрити-центричных систем.
Alban44
29.09.2023 09:27+2Здорово) Сначала подумал, ну что это за статья, ерунда какая-то, потом нет, на простых примерах очень доходчиво все объяснили, спасибо
Фильм правда не видел)
evoille
29.09.2023 09:27+1Необычный разбор. Барби и кибербезопасность. Информативная статья, было интересно прочитать. Спасибо!
CodARM
29.09.2023 09:27+1Небольшая поправка в пункт
Проблема недостаточного контроля входяшего трафика на периметре сети предприятия
Алан, когда пытался уехать из барбиленда, сказал что Mitel полностью состоит из Аланов. Это скорее проблема с оставлением старых учетных данных для входа в систему, после увольнения сотрудников.
Можно предположить что фаервол есть, так как по Лору фильма в барбиленд заходили только куклы и Барби с 2 сопровождающими. А вот толпы отдыхающих не попадали во "внутренний периметр".
DariaLib Автор
29.09.2023 09:27Хорошее замечание, спасибо
По поводу фаерволла - отчасти да, но туда же попала и команда из Mattel. Можно предположить, что только они обладают либо нужными аутентификационными данными для входа в Барби (это ок), либо нужным знанием того, как попасть (а это уже security by obscurity, что не очень комильфо)
kfkijik
29.09.2023 09:27+1Это самая неожиданная тема для статьи про кибербезопасность, которую я видел
anonymous
НЛО прилетело и опубликовало эту надпись здесь